針對sql server數據庫文件的勒索病毒變種再現江湖

安全分析與研究

專注于全球惡意軟件的分析與研究

勒索病毒

Globelmposter勒索病毒首次出現于2017年5月，主要通過釣魚郵件進行傳播，2018年2月國內幾個醫(yī)院被Globelmposter勒索病毒2.0變種加密勒索，通過溯源分析發(fā)現此勒索病毒主要通過RDP爆破方式進行攻擊傳播，隨后的幾年時間里，這個勒索病毒一直在變種，最近有朋友通過微信找到咨詢勒索病毒相關情報，如圖所示：

該勒索病毒提示信息文件HOW TO BACK YOUR FILES.txt，如下所示：

加密后的文件后綴名：Globeimposter-Alpha666qqz，黑客郵件地址：

China.Helper@aol.com，通過初步判斷此勒索病毒應該為Globelmposter勒索病毒家族的變種版本，主要加密服務器上SQL Server數據庫類型的文件，例如：MDF、LDF、NDF等后綴名的文件。

發(fā)展歷史

這款勒索病毒是最近幾年非常活躍的幾大主流勒索病毒之一，同時也是連續(xù)兩年被筆者評為“全球十大流行勒索病毒”之一，可以查看公眾號之前的文章：

《2019年全球十大流行勒索病毒》

《2020年全球十大流行勒索病毒》

現在筆者給大家整理一下這款勒索病毒的發(fā)展歷史，相關變種出現的時間線，如下所示：

從十二生肖變種開始，相關的加密后綴名：

(1)十二生肖版本

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

(2)十二主神版本

Ares666、Zeus666、Aphrodite666、

Apollon666、Poseidon666、Artemis666、

Dionysus666、Hades666、Persephone666、

Hephaestus666、Hestia666、Athena666

(3)十二生肖/主神變種版本一

Ares865、Zeus865、Aphrodite865、

Apollon865、Poseidon865、Artemis865、

Dionysus865、Hades865、Persephone865、

Hephaestus865、Hestia865、Athena865

(4)十二生肖/主神變種版本二

Ares865-20、Zeus865-20、

Aphrodite865-20、Apollon865-20、

Poseidon865-20、Artemis865-20、

Dionysus865-20、Hades865-20、

Persephone865-20、Hephaestus865-20、

Hestia865-20、Athena865-20

(5)十二生肖/主神變種版本三

Ares865qq、Zeus865qq、

Aphrodite865qq、Apollon865qq、

Poseidon865qq、Artemis865qq、

Dionysus865qq、Hades865qq、

Persephone865qq、Hephaestus865qq、

Hestia865qq、Athena865qq

(6)十二生肖/主神變種版本四

Ox4865qqz、Snake865qqz、

Rat865qqz、Tiger865qqz、

Rabbit865qqz、Dragon865qqz、

Horse865qqz、Goat865qqz 、

Monkey865qqz 、Rooster865qqz 、

Dog865qqz 、Pig865qqz

(7)十二生肖/主神變種版本五

Globeimposter-Alpha865qqz

Globeimposter-Beta865qqz

Globeimposter-Delta865qqz......

(8)十二生肖/主神變種版本六

Globeimposter-Alpha666qqz

Globeimposter-Beta666qqz

Globeimposter-Delta666qqz......

威脅情報

Globelmposter勒索病毒是最近幾年一直很活躍的勒索病毒，與CrySiS勒索病毒一樣，這兩款勒索病毒在2018年開始在國內流行起來，這兩款勒索病毒最開始都是以RDP爆破的方式進行勒索攻擊，最近筆者發(fā)現的CrySiS勒索病毒最新的變種開始使用釣魚郵件+社會工程學的方式進行攻擊，為了逃避邊界防火墻的攔截，這些黑客組織還會利用一些已經攻陷的正常網站來傳播勒索病毒，詳細的信息可以查看之前的文章，里面有對攻擊手法的詳細分析介紹。

《勒索DASH幣CrySiS最新變種的同源分析》

相比Sodinokibi(REvil)、Avaddon、Netwalker、DarkSide等現在主流的幾款勒索病毒家族，CrySiS和Globelmposter這兩款勒索病毒出現的時間都比他們要早，眼看這些新型的勒索病毒組織紛紛加入BGH活動“賺大錢”，與他們一起流行的GandCrab勒索病毒更是早早的“發(fā)財上岸”了，估計這兩款“老牌”的流行勒索病毒也"坐不住"了，不再像之前使用過于單一的攻擊方式，正在嘗試結合使用其他更多的攻擊方法。

勒索病毒最近幾年一直很活躍，而且現在已經逐步轉向成使用各種APT攻擊的方法進行定向攻擊傳播，有很多朋友通過微信、知乎等方式聯(lián)系筆者進行相關的咨詢，筆者也被朋友們戲稱為：“勒索病毒百科全書”，“病毒家族AI人肉鑒定引擎”，“溯源分析AI人肉分析機”等，如果讀者朋友們有被勒索病毒或其他惡意軟件攻擊等相關的問題，歡迎咨詢，也可以查看勒索病毒專題報道。

《勒索病毒專題報道》

現在勒索病毒太多了，如果讀者朋友們有遇到勒索病毒的相關問題，可以找筆者進行咨詢，并歡迎提供如下信息給筆者：

(1)勒索病毒家族最新樣本

(2)勒索病毒提示信息文件

(3)勒索病毒黑客郵箱地址

(4)勒索病毒黑客錢包地址

(5)勒索病毒攻擊日志信息

(6)勒索病毒暗網網站地址

不需要讀者朋友們提供關于自己企業(yè)以及客戶相關的任何信息，同時也歡迎大家關注筆者的微信公眾號：安全分析與研究，獲取最新的惡意軟件威脅情報信息。

如果想了解更多關于勒索病毒專題相關信息，可以加入勒索病毒專題知識星球，里面專門分享最新的勒索病毒威脅情報，可以第一時間獲取勒索病毒的最新情報。